Die Verantwortung für die ordnungsgemäße Durchführung der nach dem Gesetz notwendigen Datenschutzmaßnahmen obliegt der Leitung der verantwortlichen Stelle. Dies bedeutet, dass der Behördenleiter bei den öffentlichen Stellen bzw. der Unternehmensinhaber oder die Leitung der juristischen Person bei nicht-öffentlichen Stellen als erstes für den Datenschutz verantwortlich ist. Ihnen obliegt die Aufgabe, für ihre öffentliche oder nicht-öffentliche Stelle, die eine automatisierte Erhebung, Verarbeitung und Nutzung personenbezogener Daten durchführt, gemäß § 4 f Abs. 1 S. 1 BDSG einen Beauftragten für Datenschutz schriftlich zu bestellen.
Für den bestellten Beauftragten für Datenschutz bei nicht-öffentlichen Stellen hat sich die Bezeichnung "betrieblicher Datenschutzbeauftragter" (bDSB) etabliert. Ziel des Gesetzgebers ist es, durch den gesetzlichen Schutz des informellen Selbstbestimmungsrechts eine hohe Effektivität zu gewährleisten. Dieses Ziel erreicht der Gesetzgeber durch eine Mischung aus Eigen- und Fremdkontrolle.
Bei öffentlichen Stellen, die personenbezogene Daten automatisiert verarbeiten, im Gegensatz zu öffentlichen Stellen die personenbezogene Daten nicht automatisiert verarbeiten und nicht-öffentlichen Stellen, ist die Bestellung eines DSB verpflichtend. Dies hat unabhängig von der Zahl der Beschäftigten zu geschehen. Bei nicht-öffentlichen Stellen ist grundsätzlich auch ein DSB zu bestellen. Jedoch sieht das Gesetz hier eine Abstufung der Anforderungen vor. Diese Anforderungen können in drei Kriterien unterteilt werden:
der Verarbeitungsform (manuell oder automatisiert)
der Bedeutung der Verarbeitungsaktivitäten (bei besonderen Gefährdungen für das Persönlichkeitsrecht)
der Anzahl der bei der Verarbeitung beschäftigten Personen.
Daraus ergibt sich, dass, wenn eine nicht-öffentliche Stelle mit der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer, oder bei manueller Datenverarbeitung mindestens 20 Arbeitnehmer beschäftigt, eine Bestellpflicht besteht.[34] Es entfallen jedoch diese Mindestvorschriften, wenn aus der Art der zu verarbeitenden Daten bzw. dem Verwendungszweck besondere Gefährdungen des Persönlichkeitsrechts des Betroffenen zu befürchten sind. Dies ist gem. § 4 f Abs. 1 S. 6 BDSG der Fall, wenn eine nicht-öffentliche Stelle automatisierte Verarbeitungen vornimmt, die einer Vorabkontrolle[35] unterliegen. Zum anderen besteht ebenfalls eine Bestellpflicht, unabhängig von der Zahl der Beschäftigten, für Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zwecke der personenbezogenen oder auch nur anonymisierter Übermittlung erheben, verarbeiten oder nutzen.[36]
Die Bestellung des DSB muss schriftlich erfolgen[37], wobei auch Aufgabe und organisatorische Stellung zu konkretisieren sind. Die Schriftform ist rechtsbegründend. Fehlt es an einer schriftlichen Vereinbarung ist die Bestellung unwirksam und die verantwortliche Stelle ist der Verpflichtung aus § 4 f Abs. 1 BDSG nicht nachgekommen. Ihr droht daher ein Bußgeld[38], unter Umständen auch eine Schadensersatzpflicht.[39] Die Bestellung des DSB hat bei öffentlichen Stellen, die automatisiert personenbezogene Daten verarbeiten, spätestens bei Beginn der Verarbeitung zu geschehen. Öffentliche Stellen, die nicht automatisiert personenbezogene Daten verarbeiten, und nicht-öffentliche Stellen sind zur Bestellung eines DSB spätestens einen Monat nach Aufnahme ihrer Tätigkeit verpflichtet, oder unverzüglich nach Eintritt der Voraussetzungen für die Bestellpflicht.
Anforderungen zur Bestellung des DSB sind gemäß § 4 f Abs. 2 BDSG, dass der zu Bestellende die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Ein festes Anforderungsprofil gibt es nicht.
Die geforderte Fachkunde lässt sich in drei Teile untergliedern in rechtliche, technische und organisatorische Kenntnisse.
Die rechtlichen Kenntnisse basieren auf der Aufgabenstellung gem. § 4 g Abs. 1 S.1 BDSG. Demnach muss der DSB auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinaus hinwirken. Dies bedeutet, der DSB muss grundsätzlich Kenntnisse über das Datenschutzrecht, insbesondere bei öffentlichen Stellen über die jeweiligen LDSG, aber auch über einschlägige spezielle datenschutzrechtliche Regelungen und Spezialvorschriften haben.[40] Er muss neben diesen Kenntnissen aber auch Kenntnisse über weiterführende Rechtsvorschriften besitzen. Hier muss man unterscheiden zwischen den öffentlichen und nicht-öffentlichen Stellen. So sind z.B. für den öffentlichen Bereich Kenntnisse über Amtshilfe, spezielle Vorschriften der jeweiligen Behörde, aber auch über das Bundesbeamtengesetz notwendig. Bei nicht-öffentlichen Stellen muss der DSB weiterführende Kenntnisse über das Betriebsverfassungsgesetz, die Abgabenordnung oder das Sozialgesetzbuch haben.[41]
Neben diesen rechtlichen Kenntnissen sind gem. Literatur und h.M. auch die technischen Kenntnisse erforderlich. Dies sind Kenntnisse über den Bereich der Informations- und Kommunikationstechniken. Der zu Bestellende muss zumindest Grundkenntnisse über Verfahren und Technik der Datenverarbeitung haben. Er hat als DSB vorbeugend darauf zu achten, dass den Anforderungen beim Einsatz von Datenverarbeitungssystemen des Datenschutzes Genüge getan wird. Dies bedeutet, dass durch geeignete technische und organisatorische Maßnahmen personenbezogene Daten in jeder Phase ihrer Verarbeitung geschützt werden müssen. Falls diese notwendigen speziellen technischen Kenntnisse nicht realisierbar sind, kann er sich einen Spezialisten als Berater heranziehen.[42] [43]
Als dritter Punkt der Trias sind die organisatorischen Kenntnisse und Fähigkeiten zu nennen, die ebenso wie die technischen Kenntnisse durch Literatur und h.M. gefordert werden. Hierunter sind die betrieblichen Zusammenhänge zu sehen. Der DSB muss über die formalen und tatsächlichen Strukturen der Organisation, die Aufgabenzuordnung sowie über die Kompetenz und Verantwortung der Stelleninhaber informiert sein. Nur durch diese Kenntnisse kann er möglichen Risiken und Gefahren durch geeignete technische und organisatorische Maßnahmen in richtiger Art und Weise begegnen. Für diese Kenntnisse sind dem DSB Organisationsübersichten, Stellenbeschreibungen, Dienstanweisungen u.ä. zur Verfügung zu stellen. Weiterhin muss der betriebliche DSB die Fähigkeit besitzen, Maßnahmen zu erarbeiten, die sowohl den Datenschutzbestimmungen als auch den Unternehmens-/Behördeninteressen genügen.[44]
Als zusätzlicher Punkt muss auch noch die soziale Kompetenz des Beauftragten gesehen werden. Es werden demnach auch pädagogisch-didaktische und kommunikative Kenntnisse für erforderlich gehalten. Diese werden für die Information und Schulung der datenschutzrechtlichen Regelungen der an der Verarbeitung beteiligten Personen benötigt. [45]
Diese Kenntnisse und Fähigkeiten des zu Bestellenden müssen in ausreichendem Maße, bereits zum Zeitpunkt der Bestellung, vorhanden sein. Ebenso muss auch die Lernbereitschaft des zu Bestellenden gegeben sein, sich weiter nötige Fachkunde anzueignen.
Neben der erforderlichen Fachkompetenz steht auch die Zuverlässigkeit des zu Bestellenden. Die Anforderungen an die Zuverlässigkeit sind gegeben, wenn der DSB aufgrund seiner persönlichen Eigenschaften, sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen.[46] Zur Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Aber auch Belastbarkeit, Lernfähigkeit und Gewissenhaftigkeit und die Inkompatibilität der Aufgabe des DSB mit anderen hauptamtlichen Aufgaben des DSB zählen hierzu. Bei der nebenamtlich beauftragten Person des DSB kann es zur Interessenskollision mit der im Gesetz geforderten Zuverlässigkeit kommen. Insbesondere darf der DSB nicht in Situationen kommen, in denen er sich selbst kontrollieren muss. Daher sollten ebenfalls nicht Personen als DSB bestellt werden, die in ihrer Funktion in einen Interessenskonflikt geraten würden. Dies gilt z.B. für den Inhaber selbst, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter, da sie sich nicht wirksam selbst kontrollieren können. Auch sollten nach Auffassung der Aufsichtsbehörden nicht Personen zum DSB bestellt werden, die in einen Interessenkonflikt über das unvermeidliche Maß hinaus geraten könnten. Dies könnte z.B. auf den Betriebsleiter, den Leiter der EDV oder den Personalleiter zutreffen.[47]
Gemäß § 4...